230 000 PC infectés dans 100 pays ! Des colosses de l’industrie tels que Renault fortement handicapés et le système hospitalier britannique lourdement touché. Depuis vendredi 12 mai, Wannacry, c’est le nom du virus, fait la « une » de la presse internationale.
Comme je l’ai évoqué plusieurs fois dans mes chroniques pour Libre d’Agir, il s’agit encore une fois d’une redoutable attaque par ransomware ou rançongiciel. Une fois un ordinateur infecté, l’ensemble des données qu’il contient est chiffré. Il est alors impossible de récupérer les données sans régler une rançon qui s’élève dans le cas présent à 300 dollars.
Et encore… rien ne dit que les données en question seront récupérées une fois la rançon versée. Mais attention : cette attaque d’une ampleur inédite reste plutôt basique. Les cybercriminels qui l’ont menée ne sont pas forcément ultra-organisés. D’abord, ils ont laissé des traces. Ensuite, l’ampleur du désastre au niveau des industriels s’explique surtout par deux raisons :
- de nombreux ordinateurs étaient dotés de Windows XP, système abandonné par Microsoft et devenu le terrain de jeu préféré des pirate ;
- Windows dans ses dernières versions n’était pas mis à jour.
C’est pourquoi ce genre d’attaques concerne peu les particuliers, qui ont massivement migré vers Windows 10 et dont les mises à jour de sécurité sont automatiques. A priori, je penche plutôt pour un niveau de contamination qui a totalement échappé aux créateurs du virus.
Une finalité différente, mais une méthode commune
Outre cette infection massive, lors d’une précédente chronique, j’avais évoqué les potentielles cyberattaques provenant de hackers russes à l’encontre de l’équipe de campagne du candidat Macron. Force est de constater que j’avais raison, puisque deux heures avant le blackout médiatique imposé par la fin de la campagne, 15 Go de mails dérobés aux membres du premier cercle du candidat étaient diffusés via le fameux Wikileaks.
Il est encore difficile de savoir s’ils renferment des révélations qui pourraient être néfastes pour le nouveau président de la République. En attendant, cette fuite massive prouve qu’effectivement, malgré les précautions et un système de sécurité solide, des pirates parviennent à se cacher durant plusieurs mois dans les limbes d’un réseau sans être détectés.
Dans le premier cas, les cybercriminels n’avaient pas de cible particulière, mais cherchaient à soutirer de l’argent en bloquant l’accès aux données. Dans le second, les pirates ont précisément ciblé un candidat pour influencer le résultat de l’élection présidentielle. Toutefois, dans ces deux cas, la méthode de contamination est exactement la même : l’e-mail.
La meilleure solution pour s’introduire dans un réseau reste le fameux message reçu par e-mail. Cette pratique avait été inaugurée début 2000, avec le fameux virus I Love You. Une personne de votre carnet d’adresse vous envoyait alors ce petit message d’affection avec un lien. Un simple clic venait contaminer votre messagerie et envoyait alors à tous vos contacts ce message.
À force d’user et d’abuser de ce stratagème, la technique a fini par décliner ces dernières années et les systèmes de sécurité ont également contribué à limiter les dégâts. Forts de ce constat, les hackers ont amélioré leurs attaques. Désormais, essentiellement deux types d’attaques sont menés : le phishing et le ransomware.
La technique la plus courante est celle du phishing. Ce terme signifie hameçonnage ou filoutage. L’objectif du pirate est de vous berner via un mail crédible, afin que vous lui donniez vos identifiants de compte, de votre mail, vos données bancaires ou vos identifiants de réseau social. Avec ce système, il peut se faire passer pour vous, contaminer vos contacts, usurper des identités, ou encore se dissimuler derrière des centaines d’ordinateurs piratés pour réaliser d’autres attaques ciblées. Mais, là aussi, malgré des e-mails très crédibles, semblant provenir de votre banque ou de sites officiels comme Gmail, les systèmes de protection permettent de bloquer ce genre d’attaques.
Mais voilà… Les pirates ont toujours un coup d’avance. Ils sont devenus très forts et, désormais, ils préfèrent la qualité d’une attaque ciblée à la quantité. C’est justement ce qui est arrivé à l’équipe d’Emmanuel Macron, mais c’est également le cas de nombreuses personnalités ou d’entreprises.
Le ransomware, lui, comme vous l’avez compris, est beaucoup plus basique dans son esprit. Il suffit de cliquer sur un lien et d’activer un programme pour que les données de l’ordinateur se retrouvent totalement bloquées. Le cybercriminel ne vise pas une personne en particulier, il cherche uniquement à escroquer des utilisateurs. Ni plus, ni moins.
Mais, dans les deux cas, c’est la qualité du support de contamination, c’est-à-dire l’e-mail, qui fait la différence. Son contenu va-t-il vous inciter à cliquer sur le lien ou non ?
Autopsie d’un e-mail parfait, porteur de virus
Pour bien comprendre comment ne pas tomber dans ce piège (même les meilleurs peuvent désormais se faire berner par les mails piégés), voici un exemple réel qui est arrivé, il y a quelques jours, à l’un de mes amis responsable d’une salle de spectacle.
- Étape 1 : sa secrétaire reçoit par e-mail une facture d’un producteur de spectacle. Le message est rédigé en français, il intègre une date, un numéro de facture est présent et l’adresse e-mail est effectivement celle de la société de spectacle en question.
- Étape 2 : dans le message, un lien permet de télécharger cette facture et l’auteur explique même comment faire pour ouvrir le fichier à l’aide d’un outil informatique. L’assistante va cliquer.
- Étape 3 : le véritable site du producteur de spectacle s’affiche dans le navigateur Web et le fichier est rapatrié en même temps sur le disque dur de l’ordinateur de l’assistante. Jusqu’à maintenant, il n’y a aucune raison d’imaginer qu’il s’agit d’une arnaque. Au pire, on peut supposer que ce message concerne une autre salle de spectacle si rien n’a été commandé à ce producteur.
- Étape 4 : l’assistante va donc double-cliquer sur le fichier téléchargé pour le consulter et c’est exactement à partir de ce moment que le pirate a réussi son pari.
Même si l’assistante comprend qu’il y a un problème à l’ouverture du fichier, puisque rien ne s’affiche, c’est trop tard, le mal est fait. S’il s’agit d’un ransomware, les données sont chiffrées et bloquées contre rançon, et le virus va se déployer sur les autres ordinateurs du réseau non sécurisés.
Et s’il ne se passe rien, c’est pire encore, puisque le cheval de Troie ou le virus est passé au travers du système de sécurité du réseau. Il peut rester des mois à se nicher et à collecter des données importantes.
Il faut savoir qu’à l’origine de ce montage, le site du véritable producteur a été piraté et que le hacker est parvenu à récupérer via ce site de nombreuses informations pour pénétrer sur le réseau du producteur et utiliser son carnet d’adresses et sa messagerie. Comment ? Simplement parce que le site en question souffrait d’un mot de passe trop simple à trouver, ou encore d’autres failles.
Mais que faire alors ?
Si l’attaque massive via le ransomware aurait pu être facilement évitée par la mise à jour de Windows, ce n’est pas du tout le cas pour les attaques par phishing.
Malheureusement, contre ce genre de pratiques, malgré les systèmes de sécurité et la sensibilisation des utilisateurs, il n’y a rien à faire, sinon ne plus jamais cliquer sur un lien directement à partir d’un e-mail, livrer des informations personnelles ou saisir des identifiants sur un site ouvert depuis un message.
Avant de nous quitter, voici un dernier petit conseil. En cas de lien renvoyant vers un site officiel, mieux vaut faire l’effort de saisir directement l’adresse de ce site directement dans votre navigateur au lieu de cliquer directement sur un faux lien.
C’est ce qui est arrivé dernièrement à de nombreux utilisateurs de Gmail qui se sont faits bernés par un faux mail d’un contact proposant le partage d’un document créé avec la suite bureautique en ligne Google Doc et disponible via la plateforme de stockage en ligne Google Drive. Ce simple clic venait contaminer le compte Gmail et répandre le virus.
